Alles über Passwort Entropie

Dieser Artikel befasst sich damit, wie wir die Entropie für Passwörter in Specops Password Auditor berechnen.

Was ist Entropie?

Die Entropie ist ein Konzept, dass der Informationstheorie entlehnt ist. Im Hinblick auf Passwörter lässt sich die Entropie wie folgt zusammenfassen: Wie viele Versuche wären nötig, um ein Passwort mit Brute-Force-Raten zu erraten?

In Specops Password Auditor berechnen wir die Passwort-Entropie Ihrer Passwort-Richtlinien mit dieser Formel:

Schauen wir uns diese Formel einmal näher an.

Um die Entropie zu berechnen, müssen wir mit diesen beiden Werten beginnen

L – Die erforderliche Länge des Kennworts

R- Der erforderliche Zeichenbereich

Wenn ein Passwort zum Beispiel nur Kleinbuchstaben enthalten soll, ist R = 26. Wenn das Kennwort Klein- und Großbuchstaben sowie Ziffern enthalten muss, ist R = 62 (26 + 26 + 10)

Ein Passwortraum für ein Passwort kann dann als R^L berechnet werden. Der Kennwortraum ist ein Maß für die Gesamtzahl der möglichen Kennwörter, die mit einem bestimmten Wert für L und R erstellt werden können. Wie Sie sich vorstellen können, ist dies eine sehr große Zahl. Bei L = 10 und R = 62 beträgt der Kennwortraum z. B. 839.299.365.868.340.224. Da solche Zahlen etwas unhandlich sind, ist die Entropie als der binäre Logarithmus, log2, dieses Wertes definiert. Der binäre Logarithmus kann auch als die Anzahl der Bits gelesen werden, die benötigt werden, um die Zahl auszudrücken. Dies führt zu der vollständigen Formel für die Entropie (E): E = log₂(R^L).

Im obigen Beispiel mit L = 10 und R = 62 ergibt sich eine Entropie von ≈ 60.

In Specops Password Auditor visualisieren wir diese Berechnung mit Balkendiagrammen.

Die in Password Auditor angezeigte Skala reicht von 1 bis 100. Jeder Entropie-Wert von 100 oder mehr wird als ein voller Balken angezeigt.

Ist Entropie ausreichend?

Die Passwort-Entropie oder ein schwer zu erratendes Passwort ist ein Maß für die Passwortstärke. In der heutigen Angriffsrealität ist jedoch eine Passwort-Richtlinie mit einem hohen Passwort-Entropie-Wert nicht genug.

Ein langes und komplexes Passwort ist nur dann schwer zu erraten, wenn ein Angreifer nicht einen gestohlenen Datensatz mit Anmeldeinformationen verwendet, indem dieses Passwort gefunden wurde, um Ihr Netzwerk damit anzugreifen. Ein starkes Passwort ist nur so lange stark, bis es kompromittiert ist.

Zusätzlich zur Entropie sollte eine Richtlinie für starke Passwörter auch Folgendes erfordern:

• Prüfung auf verletzte Passwörter
• Benutzerdefinierte Wörterbuchprüfung für maßgeschneiderte Angriffe

Benutzerdefinierte Wörterbücher können helfen, Angriffe zu verhindern, die versuchen, Passwörter zu erraten, die mit Ihrer Organisation in Verbindung stehen (Verhinderung der Verwendung von Firmennamen, Produktnamen, lokalen Sportmannschaften usw.). Listen mit kompromittierten Passwörtern können helfen, Angriffe durch Credential Stuffing zu verhindern und werden von fast allen Sicherheitsbehörden (BSI, NIST, ENISA) empfohlen.

Entropie implementieren und mehr

Microsoft für sich genommen hat einige Einschränkungen, was die Entropie angeht.

	Specops	Microsoft FGPP
5/5 Zeichentypen	Ja	Nur 3/5 Zeichentypen
Aufeinanderfolgende identische Zeichen nicht zulassen	Ja	Nein
Gemeinsame Zeichentypen am Anfang nicht zulassen	Ja	Nein
Unterstützung von Passphrasen	Ja	Nein

Mit einem Tool wie Specops Password Policy können Sie all diese empfohlenen Best Practices für die Passwortsicherheit (Entropie, benutzerdefiniertes Wörterbuch, Listen mit kompromittierten Kennwörtern) mit einer einfachen Benachrichtigung der Benutzer kombinieren. Specops Password Policy bietet auch die Möglichkeit einer längenbasierten Passwortalterung, um Benutzer für längere (und schwieriger zu erratende) Passwörter zu incentivieren.

Und wenn Sie noch keinen Read-Only-Scan mit Specops Password Auditor durchgeführt haben, können Sie ihn hier kostenlos herunterladen, um herauszufinden, wie viele Passwörter in Ihrer Active Directory-Umgebung schwach oder kompromittiert sind.